avocatnet.ro 
GDPR a intrat în vigoare pe 25 mai 2018 și, odată cu el, și obligația unor companii de a-și numi un DPO (obligație care, reamintim, nu este legată de vreun număr minim de angajați, ci de alte considerente).
Având în vedere că vorbim de o obligație relativ recentă (dacă ne raportăm doar la data de 25 mai, însă obligația de a-l avea era cunoscută cu mult timp înainte), ar putea părea prematur să ne gândim deja la schimbarea DPO-ului numit cu doar câteva luni în urmă. E posibil însă că unele firme să-și fi dat seama puțin mai târziu ce le trebuia, de fapt.
Schimbarea unui DPO cu altul trebuie să fie adusă la cunoștința ANSPDCP. "Operatorul sau persoana împuternicită de operator publică datele de contact ale responsabilului cu protecția datelor și le comunică autorității de supraveghere", scrie în GDPR. Formularul de notificare a numirii unui (nou) DPO este disponibil pe site-ul ANSPDCP, pe prima pagină și se transmite electronic, la adresa indicată în conținutul său.
În discuția aceasta e foarte important să nu trecem peste o prevedere importantă din GDPR: pe principiul "nu trageți în mesager", DPO-ul nu poate fi sancționat și concediat pentru că și-a făcut treaba.
"Acesta nu este demis sau sancționat de către operator sau de persoana împuternicită de operator pentru îndeplinirea sarcinilor sale. Responsabilul cu protecția datelor răspunde direct în fața celui mai înalt nivel al conducerii operatorului sau persoanei împuternicite de operator", se precizează în regulamentul european.
Părerea unui DPO s-ar putea să nu placă uneori conducerii firmei pentru care lucrează sau unui departament anume. Dar asta nu poate fi motiv de terminare a relației cu DPO-ul.
De exemplu, arată Grupul de lucru articolul 29 într-un ghid privind responsabilii cu protecția datelor, un DPO ar putea să considere că o anumită prelucrare ar putea genera un risc ridicat și să îndrume operatorul să facă o evaluare a impactului asupra protecției datelor. Însă operatorul nu este de acord cu evaluarea propusă de DPO. Într-o astfel de situație, responsabilul nu poate fi demis pentru faptul că emite acest aviz.
DPO-ul: greu de ucis? Nu chiar
Nici nu ar trebui să cădem în plasa unei superputeri a DPO-ului în fața concedierii. Pot exista, practic, nenumărate motive pentru care responsabilul cu protecția datelor să fie concediat. Motive care nu au legătură directă cu funcția în sine, motive care, deși au legătură cu funcția, nu privesc faptul că DPO-ul își face treaba în mod conștiincios.
Cum îl concediem? Ca pe orice alt salariat. "Ca si regulă administrativă obișnuită și așa cum ar fi cazul oricărui angajat sau contractant în baza și sub rezerva contractului național aplicabil sau a legislației în domeniul muncii și a dreptului penal, un RPD ar putea fi totuși concediat în mod legitim din alte motive decât cele legate de îndeplinirea sarcinilor sale în calitate de RPD (spre exemplu, în cazul furtului, al hărțuirii fizice, psihologice sau sexuale, ori al abuzului în serviciu în formă gravă)", spun specialiștii în ghidul DPO.
Un DPO ar putea fi concediat pe motiv disciplinar, ceea ce înseamnă în mod automat că vorbim de o cercetare disciplinară pentru o faptă care reprezintă abatere disciplinară.
"Angajatorul dispune aplicarea sancțiunii disciplinare printr-o decizie emisă în formă scrisă, în termen de 30 de zile calendaristice de la data luării la cunoștință despre săvârșirea abaterii disciplinare, dar nu mai târziu de 6 luni de la data săvârșirii faptei", se precizează în Cod ca regulă absolută (mai multe despre decizia de sancționare a angajatului în urma cercetării disciplinare, aici).
De asemenea, un alt exemplu ar putea fi concedierea pentru necorespundere profesională. Temeiul îl vom găsi în Codul muncii la motivele ce țin de persoana angajatului. Angajatorul are obligația să emită decizia de concediere în termen de 30 de zile calendaristice de la data constatării cauzei concedierii, potrivit Codului. În acest material veți regăsi un ghid al concedierii care vă poate oferi mai multe lămuriri.
cristianbrana